STRATEGIE9. Juli 2024

Betrugstrends mit “Authorized Push Payment Fraud”

Schwerpunkt: Betrugserkennung & Prävention
Heike Jennewein, Principal Business Solutions Manager SAS SAS

Heike Jennewein (Principal Business Solutions Managerin bei SAS) ist Expertin in Sachen Anti-Financial Crimes. Derzeit berät sie Banken und Finanzdienstleister in Projekten auf dem Gebiet der Geldwäsche- und Betrugsprävention. Im Interview erklärt Jennewein, wie sich Banken schützen können und welche Rolle Künstliche Intelligenz und Quantencomputing dabei spielen.

von Dunja Koelwel

Frau Jennewein, mit welcher Art von Betrugsversuchen haben Sie am meisten zu tun?

Aktuell am häufigsten zu beobachten sind bei den Betrugstrends Identitätsdiebstahl und der so genannte Account Takeover. Via Phishing erlangen die Betrüger Zugang zu Online-Banking-Konten und lösen so Zahlungen aus. Genauso häufig sind allerdings Täuschungsversuche, also Social Engineering: Hier manipulieren Betrüger Menschen, um sie zu Zahlungen zu “überreden” – auch der Enkeltrick gehört im Prinzip dazu, genau wie WhatsApp-Scams. Die Krux dabei ist, dass echte Bankkunden die Zahlungen initiieren und authentifizieren und somit die eigentliche Zahlung rechtmäßig ist.

Die Situation wird sich noch verschärfen: Ab 10/2025 sind Banken verpflichtet, Instant Payments durchzuführen, damit ist das Geld noch schneller verschwunden.”

Bislang gibt es noch nicht viele WhatsApp- oder andere Scams, die mit Deep-Fake-Videos oder Sprachnachrichten angereichert werden, aber auch das wird als Betrugstrends von der Branche erwartet. Der Trend geht also absolut in die Richtung “Authorized Push Payment Fraud” also die Zahlungen die von Kunden auf Basis einer Täuschung/eines Scams selbst (deshalb “authorized push”) ausgelöst wurden.

Beim Thema Account Take Over geht der Trend bei Banken und Finanzdienstleister dahin, “Session-Based”- statt eines “Transaction Based”-Ansatzes zu verfolgen.”

Dazu versucht die Bank schon beim Einloggen in eine Online-Banking-Session herauszufinden, ob es tatsächlich der Kunde ist, der sich versucht einzuloggen, oder ob es sich um einen Betrüger handelt. Hier helfen Datenlieferanten, die Informationen zum verwendeten Endgerät und biometrische Daten liefern.

Wie können sich Banken und Finanzdienstleister vor Betrug aus vernetzten Quellen schützen?

Im Interview: Heike Jennewein
ist seit nunmehr 20 Jahren im Bereich Anti-Financial Crimes in unterschiedlichen Rollen tätig. Als Principal Business Solutions Manager berät Heike Jennewein SAS (Website) Kunden in Projekten auf dem Gebiet der Geldwäsche- und Betrugsprävention. Außerdem kümmert sie sich um den Bereich Business Development.
Man kann die Betrüger quasi mit ihren eigenen Waffen schlagen. Banken und Finanzdienstleister gehen dazu über, mehrere Datenquellen anzuzapfen, etwa Anbieter für biometrische Daten oder Fraud Pools, umso mehr Daten für die Überwachung der Konten und Transaktionen verwerten zu können. Dazu müssen sie über Systeme verfügen, die sich flexibel mit verschiedenen Plattformen verbinden können.

Je mehr Daten eine Bank vorliegen hat, desto komplexer wird dann aber auch das Monitoring. Regelwerke kommen hier schnell an ihre Grenzen, da Regelattribute und -definitionen viel zu komplex werden. Hier ist KI tatsächlich eine Hilfe gegen aktuelle Betrugstrends.

Ein weiterer Vorteil ist, wenn Informationen aus verschiedenen Quellen in einer visuellen Darstellung präsentiert werden können.”

Nicht nur das Monitoring wird angereicht, sondern auch das Netzwerk, welches um eine auffällige Entität (Kunde, Konto, Transaktion, Device, Antrag, …) generiert werden kann. Diese visuelle Darstellung von Datenverbindungen und Beziehungen einer Entität ist eine massive Hilfe für Fraud-Analysten bei der Bewertung von Auffälligkeiten.

KI als Unterstützung bei der Betrugsprävention – wo sind hier die Grenzen?

KI und ML-Algorithmen werden schon seit den 90er Jahren für die Entdeckung von Fraud eingesetzt. Sie sind eine sehr gute Erweiterung der klassischen Regelwerke. Der Unterschied hier zwischen Regeln und KI ist, dass man den Regeln genau vorgeben muss, auf welche Attribute geschaut werden soll. Meist wird eine Überwachungsregel erstellt, nachdem ein Betrugsfall eingetroffen ist, also bereits ein Schaden entstanden ist. KI hingegeben braucht keine Vorgaben – die verschiedenen Verfahren haben “ihren eigenen Blick”.

Ein Beispiel sind Ausreißeranalysen: Wie verhält sich ein Konto im Vergleich zur Historie, aber auch im Vergleich zur Peergruppe, basierend auf Beruf, Einkommen und so weiter?

Schwachstellen entstehen, wenn die KI intransparent wird und zum Beispiel die Gefahr der Diskriminierung von Kunden besteht – deshalb sind die Themen Explainable und Responsible AI so wichtig. “

Es muss jederzeit verständlich bleiben, warum zum Beispiel eine Auffälligkeit für einen Kunden ausgelöst worden ist.

Wie ordnen Sie das Thema Quantencomputing und Betrugstrends für sich ein?

Schnelle Entscheidungen brauchen immer mehr Rechenleistung. Je mehr Daten für die Prävention herangezogen werden, je mehr Regelwerke und je mehr Algorithmen angewendet werden, desto länger kann der Prozess der Analyse und Entscheidungsfindung dauern.

Noch sind die gängigen Systeme am Markt absolut ausreichend, aber …”

… wie sieht die Zukunft aus? Alleine Instant Payment wird einige Banken vor eine große Herausforderung stellen, denn innerhalb von zehn Sekunden muss eine Bank entscheiden, ob eine Zahlung genehmigt oder abgelehnt wird. Wie will man agieren, mehr ablehnen aber dabei unzufriedene Kunden bekommen? Hier kann Quantencomputing sicher Lösungsansätze bringen.

Frau Jennewein, vielen Dank für das Interview.dk

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert